769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
Windows Sysinternals - Sysmon
Sysmon крайне полезная штука для мониторинга конечных точек на Windows.
Sysmon, сокращение от System Monitor, - это системная служба Windows и драйвер устройства, которые отслеживают и регистрируют системную активность на хосте Windows от Sysinternals. Sysmon значительно расширяет логирование системы. Сюда входит информация о создании и завершении процессов, сетевых подключениях, создании файлов и многое другое. Он без проблем уживается в связке EDR/AV - Sysmon - Wazuh. Однако, EDR-решения он не заменяет, а заполняет пробелы в мониторинге.
Но Sysmon это не совсем решение вида "установил и забыл" и желательны доработки напильником. Например, как у Tier Zero Security.
У них в примерах используется HELK, но в стандартном Wazuh всё будет работать так же.
Со стороны самого Wazuh сейчас чуть проще, с версии 3.8 есть нативная поддержка. Что не отменяет настройку.
Running GTA: Vice City on a TP-Link TL-WDR4900 wireless router
GTA: Vice City запустили на роутере TP-Link TL-WDR4900.
Но роутер не абы какой. Запустили GTA на роутере TP-LINK TL-WDR4900 v1, который в отличии от своих собратьев не на ARM или MIPS, а на процессоре PowerPC e500v2 32bit (версии 2.x уже были на MIPS) от NXP (SoC Freescale MPC85xx).
Кроме того, у этого процессора есть поддержка PCIe, оставалось только распаять слот, что и было сделано.
Для полноты сборки на роутере был запущен Debian 10 с видеокартой AMD Radeon HD 7470 (более новая AMD Radeon RX570 не заработала из-за amdgpu) и в итоге получилась вполне рабочая сборка, хоть и без NPC.
Exploiting Unsynchronised Clocks
По данным RIPE, более 40 % компьютеров, подключенных к Интернету имеют несколько секунд дрейфа часов, что при правильной комбинации заголовков, что сделает HTTP-ответ непреднамеренно кэшируемым.
Метод HTTP TRACE является одним из методов HTTP, используемых для отладки и диагностики. Когда клиент отправляет запрос HTTP TRACE на сервер, сервер должен ответить эхом на полученный запрос клиенту. Это может быть полезно для устранения неполадок или понимания того, как запрос обрабатывается посредниками и сам сервер.
Включение метода HTTP TRACE на рабочем сервере может привести к возникновению уязвимости безопасности, известной как
уязвимость, известную как Cross-Site Tracing (XST). Эта уязвимость возникает, когда злоумышленнику удается обмануть браузер пользователя, чтобы сделать TRACE-запрос на веб-сайт, а затем прочитать конфиденциальные данные, содержащиеся в ответе, такие как файлы cookie и маркеры аутентификации.
Наличие метода TRACE обычно считается багом уровня Info. Но если знать, что искать, то метод TRACE (и любой другой механизм, отражающий запросы) может быть добавлен в практическую цепочку атак и значительно усилит воздействие эксплойта.
Возможный импакт:
- Information Disclosure: чувствительная информация, такая как HTTP-заголовки и файлы cookie.
- Session Hijacking: Злоумышленник может украсть куки сеанса и токены аутентификации.
- Cross-Site Scripting (XSS): Если ответ TRACE содержит данные, вводимые пользователем, без надлежащей обработки, может привести к XSS.
Да, скорее всего критичного импакта TRACE не даст, но как минимум, раскроет информацию о сервере и заголовках.
Статьи на тему:
PortSwigger KB - HTTP TRACE method is enabled
PortSwigger - Information disclosure due to insecure configuration
OWASP - Cross Site Tracing
OWASP WSTG - Test HTTP Methods
Black Hills Information Security - Three Minutes with the HTTP TRACE Method
attack ships on fire - Exploiting TRACE
Virtue Security - Web Server TRACE Enabled
Tib3rius опубликовал список вопросов, которые могут попасть при собеседовании на должность AppSec.
Всего 61 вопрос, вопросы довольно сложные, но под спойлером есть ответы.
Давно образовательных лаб не было. Время это исправлять.
WebSploit Labs - это учебная среда, созданная Омаром Сантосом для проведения различных тренингов по этическому взлому, поиску багов, реагированию на инциденты, цифровой криминалистике и поиску угроз. WebSploit Labs включает в себя несколько уязвимых приложений, работающих в контейнерах Docker поверх Kali Linux или Parrot Security OS, несколько дополнительных инструментов и более 9 000 ресурсов по кибербезопасности.
Что под капотом:
19 контейнеров, в том числе сам JuiceShop, WebGoat, DVWA и множество других. В целом, никакой магии, просто собранные в одном месте уязвимые приложения, запакованные в готовые контейнеры.
Минимальные требования для VM :
4GB RAM
2 vCPU
50 GB HDD
Как развернуть:
1. Устанавливаем основную систему
Скачиваем и разворачиваем Kali или Parrot OS в любом удобном гипервизоре (VirtualBox, VMWare Workstation/Fusion, ESXi, KVM, Proxmox).
В теории, можно выбрать произвольный deb-дистрибутив, но в таком случае может потребоваться правка установочного скрипта. И нужных инструментов может не оказаться в репозиториях.
2. Разворачиваем Websploit Labs
После установки дистрибутива запускаем скрипт для развертывания окружения:
curl -sSL https://websploit.org/install.sh | sudo bash
Ghidra в Minecraft.
Не известно зачем и за какие грехи, но оно есть и даже работает.
I Know What Your Password Was Last Summer...
Немного про пароли от Lares. Исследователи из Lares потратили шесть месяцев, изучая предыдущие два года взломанных паролей и делятся с нами результатами. С чувством, толком, расстановкой. А ещё психологией, hashcat и кучей видеокарт вроде 4090.
Весь анализ, получен в результате взлома паролей windows NTLM в течение двух лет; общее количество хэшей составило 186149, уникальных хэшей - 99918, а взломано было 31200, в по причине повторяющихся паролей у разных пользователей и отраслей.
Ситуация сильно не меняется и что мы снова получаем:
- Повторное использование паролей
- Распространенные слабые пароли
- Отраслевые закономерности
Так же довольно часто встречаются конструкции вроде месяцГОД, времягодаГОД.
Рекомендация: используйте длинные фразы (вроде стихов, песен или запоминающихся цитат) и по возможности используйте парольный менеджер, где уже можно сгенерировать пароль произвольной сложности.
A Beginner’s Guide to Tracking Malware Infrastructure
Отличный гайд от Censys по отслеживанию инфраструктуры малвари с примерами.
Описан поиск по:
- TLS сертификатам (на примере AsyncRAT и Cobalt Strike)
- HTTP-ответа (на примере Mythic C2)
- баннерам сервисов (на примере Havoc C2 и DarkComet)
- локации и ASN (на примере Amadey)
- Open Directories
И немного поиска по регуляркам для тех, кто оплачивает Censys.
Staying ahead of threat actors in the age of AI
Разработки в сфере искусственного интеллекта влияют не только на разные бытовые аспекты, но и заметно повлияли на безопасность, ускорив и усложнив атаки. С появлением ChatGPT и схожих чат-ботов даже скрипт-кидди могут нагенирировать инструментов и полезной нагрузки.
Microsoft совместно с OpenAI разродилась статьей в блоге на тему LLM и угроз от него. Прошлись так же и по хакерским группам в своей классификации. Согласно отчёту, мы используем LLM только для разведки и написания скриптов.
Так же на основе анализа были созданы TTP в MITRE ATT&CK / MITRE ATLAS:
- LLM-informed reconnaissance
- LLM-enhanced scripting techniques
- LLM-aided development
- LLM-supported social engineering
- LLM-assisted vulnerability research
- LLM-optimized payload crafting
- LLM-enhanced anomaly detection evasion
- LLM-directed security feature bypass
- LLM-advised resource development
Cтатья скорей отчётная, а не техническая, но ознакомится стоит.
Для проверки Docker-образов на уязвимости есть хороший инструмент - Trivy. Сам использую и другим советую. Но сейчас не про него. Trivy хоть и хороший инструмент, но покрывает только поиск уязвимостей.
Trivy неплохо дополняет другой инструмент - Dockle.
Dockle это security linter, который проверяет Dockerfile на уязвимости (Dockle Checkpoints for Docker и Dockle Checkpoints for Linux), помимо этого проверяет и на соответствие Dockerfile Best practices и рекомендациям CIS Docker Benchmarks.
В использовании Dockle довольно прост, так как это одиночный бинарник. Так же есть пакеты для установки под популярные системы.
Можно запустить и в Docker без установки:
VERSION=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
goodwithtech/dockle:v${VERSION} goodwithtech/dockle-test:v2
export DOCKLE_LATEST=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
)
docker run --rm goodwithtech/dockle:v${DOCKLE_LATEST} goodwithtech/dockle-test:v2-f json -o report_name.json:dockle -f json -o dockle_report.json goodwithtech/dockle-test:v2
VERSION=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
goodwithtech/dockle:v${VERSION} -f json goodwithtech/dockle-test:v2 > dockle_report.json
В дополнение к статье стоит добавить, что находки вроде токенов надо как-то проверить на валидность.
Например, если мы знаем APIKEY и APPID, мы можем проверить, что нам скажет Firebase:
curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612343678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:android:c212345678909876", "appInstanceId": "PROD"}'
curl -v -X POST https://maps.googleapis.com/maps/api/staticmap?center=45%2C10&zoom=7&size=400x400&key=KEY_HERE
curl -v -X POST 'https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123'
ShmooCon опубликовали записи докладов с ShmooCon 2024.
Из интересных докладов был Марк Ньюлин из SkySafe с докладом Hi My Name is Keyboard (про который я писал), сторонники того, что SBOM не решит наши проблемы (No, SBOM Will Not Solve All Your Software Supply Chain Problems) и даже добрались до Эльбрусов (Back (45 Years?) in the USSR: Exploring the Russian Elbrus Architecture (With a 25-year-old Exploit!)).
Посмотреть можно прямо на archive.org или скачать (например торрентом).
Codebreaking Clouds Hacking Cloud Native Environments through VAPT Mastery
Про VAPT (Vulnerability Assessment and Penetration Testing) говорится довольно много и часто. Наиболее актуально это для облачных сред, которые нынче практически везде. С одной стороны мы используем привычные нам методологии вроде black box, white box, но этого уже давно не хватает.
Статья скорей является своеобразным напоминанием, что если инфраструктура у нас сейчас строится как IaC, то и обеспечение безопасности тоже имеет смысл делать через IaC. Но это не отменяет привычных методов, сканеров уязвимостей и прочего, скорей это даёт большее количество инструментов.
Cracking the Code: An Analysis of WiFi Passwords in Oslo
Интересное исследование точек доступа Wi-Fi из Осло. Автор вооружился NVIDIA RTX 4090 и принялся активно брутить хэши точек доступа.
Кратко:
- Норвежцы тоже не любят длинные пароли (8 символов - 362 случая, 9 символов - 179 случаев, 10 символов 119 случаев)
- Сложные пароли тоже не частый гость (31.71% - цифровой, 22.93% - цифры, заглавные и строчные буквы, 18.90% - нижний регистр).
Но топ паролей немного удивил:
- 222222222
- 1234567890
- U17r4H4rd(0r3
- 12345678
- 123456789012345
- Energized
- 123456789
- Fan2met!
- not4you1
- Sommar12
Больше всего удивил пароль U17r4H4rd(0r3, так как судя по быстрому загугливанию, это сервисный Wi-Fi автомобилей Tesla:
SSID: Tesla Service
WPA PSK key: U17r4H4rd(0r3
Так же стоит ознакомится со статьёй Operation Bloodhound – Cracking WiFi Passwords, так как в ней раскрывается вся задумка, а так же куча технических деталей.
List of 39 Documented Windows Persistence Techniques
А сколько способов закрепления в Windows вы знаете? А их как минимум 39, 12 из которых не требуют админских прав.
1. Registry Run Keys
2. Service Registry Permission Weakness
3. Scheduled Tasks
4. Shortcut Modification
5. BITS Jobs
6. PowerShell Profile
7. Screensaver
8. Component Object Model Hijacking
9. Change Default File Association
10. Office Application Startup
11. Visual Studio Code Extensions
12. Explorer
13. WinLogon Helper DLL
14. RID Hijacking
15. Time Providers
16. Image File Execution Options Injection
17. Application Shimming
18. DLL Search Order Hijacking
19. AppInit DLLs
20. Netsh Helper DLL
21. Accessibility Features
22. Port Monitors
23. Security Support Provider
24. AMSI
25. WMI Event Subscription
26. Print Spooler
27. Certificates
28. Notepad++
29. Event Log
30. Event Log Online Help
31. Context Menu
32. Service Control Manager
33. Windows Telemetry
34. Scheduled Task Tampering
35. Disk Clean Up
36. Windows Setup Script
37. Waitfor
38. New Service
39. Modifying Existing Service
Помните странную новость про якобы DDoS с помощью зубных щеток?
Да, для DDoS они не пригодны. Но Аарон Кристофель запустил на них Doom.
Не на всех разумеется, в данном случае это evowera planck mini.
Сама щетка имеет не только экран, но и управляется ESP32-C3 с Wi-Fi и Bluetooth на борту.
Основные детали взлома щетки автор описал в twitter.
Кастомная прошивка доступна на Github.
Кстати, Аарон Кристофель так же один из первых (если не первый) реверсил ценники на E-ink и Xiaomi Thermometer и собирал для них прошивки. И рикролл на прайсчекере, куда без этого.
Getting Bored of Cyberwar - Exploring the Role of Low-level Cybercrime Actors in the Russia-Ukraine Conflict
Британские ученые исследователи опубликовали свою работу, посвященную кибервойне на фоне СВО.
Перевод аннотации:
О роли кибератак, осуществляемых низкоуровневыми киберпреступниками, в российско-украинском конфликте написано немало. Мы проанализировали 358 тыс. атак с целью порчи веб-страниц, 1,7 млн отраженных DDoS-атак, 1764 сообщения на форумах Hack Forums с упоминанием двух стран и 441 объявление (с 58 тыс. ответов) волонтерской хакерской группы за два месяца до и четыре месяца после вторжения. Мы обнаружили, что конфликт ненадолго, но привлек внимание низкоуровневых киберпреступников: значительно увеличилось количество обсуждений в сети и обоих типов атак, направленных против России и Украины. Однако свидетельств громких действий было немного; роль этих игроков в продолжающейся гибридной войне незначительна, и их следует отделять от настойчивых и мотивированных "хактивистов", участвующих в спонсируемых государством операциях. Их участие в конфликте, судя по всему, было кратковременным и мимолетным: через несколько недель они явно потеряли интерес к обсуждению ситуации и осуществлению как дефейсов, так и DDoS-атак против России или Украины.
Так же на днях LetsDefend опубликовали список вопросов на позицию SOC-инженера.
Большая часть вопросов довольно общая, но охватывает множество доменов.
Practical WPA2 Security Assessment of Wireless Routers
Немного о взломе Wi-Fi без Aircrack-ng. Инструменты поменялись, смысл остался: пакеты перехватываются, хэш брутфорсится. И для успешной атаки достаточно Apple MacBook M3 Pro и небольшого словаря на 559569 слов.
- Если возможно, то используйте WPA3. В WPA3 есть Simultaneous Authentication of Equals (SAE) и Protected Management Frames (PMF), которые усложняют жизнь взломщику.
- Если используете WPA2, используйте сложные пароли, а не 12345678.
- Меняйте настройки по умолчанию. Отключайте то, что вам вряд ли необходимо, например WPS. Меняйте стандартный пароль точки доступа, так как часто они формируются по довольно предсказуемому принципу.
Mageni - это платформа управления уязвимостями с открытым исходным кодом. Mageni обеспечивает более быстрое, удобное и компактное управление уязвимостями для современных программ кибербезопасности.
Mageni автоматизирует цикл управления уязвимостями, Авторы так же заявляют о том, что сканер поможет соответствовать стандартам безопасности, таким как PCI DSS, NIST и другим.
Для чего предназначен Mageni:
- Обнаружение ассетов
- Обнаружение портов и сервисов
- Обнаружение приложений
- Обнаружение неавторизованных устройств
- Сканирование уязвимостей
- Оценка уязвимостей
- Управление поверхностью атаки
- Отчеты об уязвимостях
- Устранение уязвимостей
- Приоритизация уязвимостей
- Проверка уязвимостей
- Анализ уязвимостей
- Устранение уязвимостей для обеспечения соответствия стандартам PCI DSS, NIST, HIPAA, ISO, NERC, FISMA, NIS
- Тестирование безопасности IoT, OT и SCADA
Из минусов:
- Установка через snap и работа через multipass
- Нет API
- Нет интеграции со сторонними сервисами (например оркестраторами, коллекторами и прочим)
- Нет подготовленного контейнера docker
Ещё и установочный скрипт заботливо не доступен без VPN.
Если standalone-сканер засунутый в multipass вас не пугает, то стоит присмотреться. Что касаемо разных стандартов, то тут инструмент будет не особо интересен. Да и как по мне, минусы перевешивают.
Документация: mageni.net/docs
Начнем понедельник с чего-нибудь интересного.
Например с анализа загрузчика шеллкода Cobalt Strike в PowerShell используя CyberChef и эмулятор speakeasy.
How I Hacked My Air Purifier to Remove Cloud Dependency
Стандартная история с нестандартным развитием событий. Захотел человек отвязать очиститель воздуха от облака и инегрировать его в Home Assistant, а получился детальный реверс китайской железки на ESP32.
А работа проделана действительно детальная, автор начал от анализа мобильного приложения и трафика, до модификации прошивки и MITM.
APT29’s Attack on Microsoft: Tracking Cozy Bear’s Footprints
Призрачно всё в этом мире бушующем
Есть APT, за него и держись
Есть APT между прошлым и будущим
И мы его назовём Cozy Bear
Для полноты картины можно добавить copacetic.
copacetic - CLI-инструмент для исправления образов контейнеров с учетом результатов сканирования уязвимостей, полученных с помощью популярных инструментов с помощью отчетов сканеров уязвимостей вроде Trivy.
copacetic написан на Go и использует buildkit.
Как работает магия:
- Парсит необходимые пакеты обновлений из образа контейнера отчета об уязвимостях, созданного сканером типа Trivy.
- Получает и обрабатывает необходимые пакеты обновлений с помощью соответствующих инструментов менеджера пакетов, таких как apt, apk и т. д.
- Применяет полученные двоичные файлы обновлений к образу контейнера с помощью buildkit.
Выглядит интересно, но использовать такое в проде несколько рисковано в силу непредсказуемости.
Но сама идея хорошая, мне нравится.
Документация:
https://project-copacetic.github.io/copacetic
There Are Too Many Damn Honeypots
По данным Huntress Labs, поиск в Shodan по слову "Confluence" дает более 200 000 результатов, а поиск по фавикону Confluence - более 5 000. Эти цифры не являются показателем количества уязвимых экземпляров, но показывают, сколько их находится в Интернете.
Карликовый сад для роботов. Ищем низко висящие фрукты в Android
Внутренний мир Android-приложений довольно увлекательная штука с точки зрения баг-хантеров и пентестеров. Секреты в коде, апи-ключи, эндпоинты и многое другое может ожидать в обычном приложении.
А может и не ожидать, тут покажет вскрытие.
Да, умудрённым реверсером я не стал, но опыт интересный.
ModSecurity: Path Confusion and really easy bypass on v2 and v3
Статья хорошая, ситуация не очень.
В ModSecurity v2 и v3 есть ошибка, которая может привести к простому обходу WAF. Ошибка в ветке v3 была исправлена в версии 3.0.12, и ей был присвоен номер CVE-2024-1019. Однако, ошибка в v2 остается не исправленной. Основная проблема заключается в неявном поведении ModSecurity при декодировании URL-адресов перед установкой определенных переменных, что не только представляет нежелательное поведение, но и полностью недокументировано. Такое поведение может привести пользователей как v2, так и v3 к простому обходу WAF-движка и/или правил WAF.
Что занятно: о баге сообщили ещё 19 марта 2022 года (issue ещё открыт), судя по таймлайну, вроде исправили но немного странная ситуация.
Been spendin' most their lives
Livin' in a scammers paradise
CVSS 4.0: аналитический обзор новой версии популярного стандарта
Тут у Positive Technologies вышла большая обзорная статья о сравнении CVSS v.4.0 и CVSS v.3.1.
Если коротко: изменений много, оценка сложнее, деталей больше.
Но тут больше волнует, когда CVSS 4.0 появится в боевых условиях, так как некоторые всё ещё используют CVSS v2.
А ещё мне не понятно, что будет с EPSS, возможно оно будет в более понятном виде вроде Exploitability.
Обзорная статья хорошо, а официальные ресурсы лучше.
У FIRST уже доступны:
- CVSS v4.0 Public Preview
- CVSS v4.0 User Guide
- CVSS v4.0 Specification
- Калькулятор скоринга
- Курс для самостоятельного прохождения
И презентацию с разной интересной и не очень информацией тоже почитайте.